**Oracle PeopleSoft**, um conjunto de software empresarial crítico para o gerenciamento de operações como RH, folha de pagamento e finanças, está atualmente sob ataque do grupo de extorsão **ShinyHunters**. A gangue afirma ter exfiltrado dados de mais de 100 organizações, impactando centenas de instâncias **PeopleSoft**. ### Demandas de Extorsão e Alegações de Ataque Relatórios indicam que clientes **Oracle PeopleSoft**, tanto os que utilizam implantações em nuvem quanto on-premises, receberam demandas de extorsão atribuídas a **ShinyHunters**. Os atores de ameaça confirmaram seu envolvimento, alegando ter invadido aproximadamente 300 instâncias em mais de 100 organizações. ### Exploração de Vulnerabilidades **ShinyHunters** afirma que seus ataques exploram uma 'cadeia de gadgets' que combina vulnerabilidades previamente conhecidas e de dia zero. No entanto, eles observam que o sucesso de sua exploração varia, sugerindo que pode depender de configurações específicas do sistema. A **Oracle** ainda não comentou publicamente sobre a exploração de quaisquer vulnerabilidades de dia zero potenciais. ### Foco no Setor Educacional A maioria das organizações impactadas por esses ataques parece estar no setor educacional. **ShinyHunters** também alegou uma tentativa inicial, sem sucesso, de invadir um portal do **FBI** executando **PeopleSoft** para disseminar uma declaração. A **Nottingham University** foi identificada como vítima, com seus dados supostamente publicados no site de vazamento de dados da **ShinyHunters**. A universidade reconheceu ter sofrido um incidente de cibersegurança. ### Indicadores de Comprometimento (IOCs) Emergem O pesquisador de cibersegurança "Michael R" descobriu vários diretórios online expostos contendo ferramentas ligadas a esses ataques. Esses diretórios revelam materiais de staging, incluindo agentes **MeshCentral**, e scripts para defacement de sistemas e pulverização de credenciais. **Michael R** compartilhou os seguintes endereços IP como **IOCs** relacionados aos ataques em andamento: `185.209.118[.]103` `193.37.159[.]144` `193.37.159[.]145` `193.37.159[.]146` `193.37.159[.]147` `193.37.159[.]148` `193.37.159[.]149` `193.37.159[.]150` `193.37.159[.]151` `193.37.159[.]152` `193.37.159[.]153` `193.37.159[.]154` `193.37.159[.]155` `193.37.159[.]156` `193.37.159[.]157` `193.37.159[.]158` `193.37.159[.]159` `193.37.159[.]160` `193.37.159[.]161` `193.37.159[.]162` `193.37.159[.]163` `193.37.159[.]164` `193.37.159[.]165` `193.37.159[.]166` `193.37.159[.]167` `193.37.159[.]168` `193.37.159[.]169` `193.37.159[.]170` `193.37.159[.]171` `193.37.159[.]172` `193.37.159[.]173` `193.37.159[.]174` `193.37.159[.]175` `193.37.159[.]176` `193.37.159[.]177` `193.37.159[.]178` `193.37.159[.]179` `193.37.159[.]180` `193.37.159[.]181` `193.37.159[.]182` `193.37.159[.]183` `193.37.159[.]184` `193.37.159[.]185` `193.37.159[.]186` `193.37.159[.]187` `193.37.159[.]188` `193.37.159[.]189` `193.37.159[.]190` `193.37.159[.]191` `193.37.159[.]192` `193.37.159[.]193` `193.37.159[.]194` `193.37.159[.]195` `193.37.159[.]196` `193.37.159[.]197` `193.37.159[.]198` `193.37.159[.]199` `193.37.159[.]200` `193.37.159[.]201` `193.37.159[.]202` `193.37.159[.]203` `193.37.159[.]204` `193.37.159[.]205` `193.37.159[.]206` `193.37.159[.]207` `193.37.159[.]208` `193.37.159[.]209` `193.37.159[.]210` `193.37.159[.]211` `193.37.159[.]212` `193.37.159[.]213` `193.37.159[.]214` `193.37.159[.]215` `193.37.159[.]216` `193.37.159[.]217` `193.37.159[.]218` `193.37.159[.]219` `193.37.159[.]220` `193.37.159[.]221` `193.37.159[.]222` `193.37.159[.]223` `193.37.159[.]224` `193.37.159[.]225` `193.37.159[.]226` `193.37.159[.]227` `193.37.159[.]228` `193.37.159[.]229` `193.37.159[.]230` `193.37.159[.]231` `193.37.159[.]232` `193.37.159[.]233` `193.37.159[.]234` `193.37.159[.]235` `193.37.159[.]236` `193.37.159[.]237` `193.37.159[.]238` `193.37.159[.]239` `193.37.159[.]240` `193.37.159[.]241` `193.37.159[.]242` `193.37.159[.]243` `193.37.159[.]244` `193.37.159[.]245` `193.37.159[.]246` `193.37.159[.]247` `193.37.159[.]248` `193.37.159[.]249` `193.37.159[.]250` `193.37.159[.]251` `193.37.159[.]252` `193.37.159[.]253` `193.37.159[.]254` `193.37.159[.]255` Alguns desses endereços IP estão associados a um certificado TLS para "azurenetfiles[.]net", um domínio anteriormente ligado à gangue **ShinyHunters**. ### Metodologia de Ataque Revelada A análise de arquivos `.bash_history` encontrados em cinco dos servidores comprometidos fornece insights sobre a metodologia de ataque. Um script shell foi descoberto, projetado para implantar uma nota de resgate, "README-IF-YOU-SEE-THIS-YOUVE-BEEN-HACKED.TXT", em servidores **PeopleSoft** internos após a invasão.  O script identifica sistemas relacionados a **PeopleSoft** analisando `/etc/hosts` e tenta estabelecer conexões SSH usando contas administrativas comuns como 'psoft', 'oracle' e 'linuxadm'. Se a autenticação por senha falhar, ele tenta a autenticação baseada em chave SSH. Após uma conexão bem-sucedida, a nota de resgate é colocada em diretórios associados aos servidores web e de aplicação **PeopleSoft**. ### Recomendações Urgentes para Usuários **PeopleSoft** Organizações que operam instâncias **Oracle PeopleSoft** são fortemente aconselhadas a revisar imediatamente seus logs em busca de quaisquer conexões originadas dos **IOCs** mencionados anteriormente. Se esses indicadores forem encontrados, medidas de resposta a incidentes devem ser iniciadas prontamente, incluindo uma investigação completa sobre possíveis comprometimentos e a consideração de isolar temporariamente os servidores afetados do acesso à internet até que o ambiente possa ser protegido e revisado.